PayPal condannata a pagare 2 milioni di dollari: la multa risale al 2022

Ormai è ufficiale: PayPal dovrà pagare una sanzione da ben 2 milioni di dollari. Nel caso in cui qualcuno ricordasse l’incidente di dicembre 2022, il data breach che compromise i dati di più di 35.000 account, deve sapere che la causa è proprio quella. Da quel momento infatti sono partite delle indagini che hanno evidenziato delle carenze molto gravi all’interno dei sistemi di sicurezza di PayPal.

Le cause dell’incidente

Il Dipartimento dei Servizi Finanziari (DFS) di New York ha identificato alcune criticità che hanno facilitato l’attacco. Tra queste:

• Credential stuffing: gli hacker hanno utilizzato credenziali rubate da altre piattaforme per accedere agli account di PayPal;
• Assenza di autenticazione a più fattori (MFA): al momento del breach, MFA non era obbligatoria per i clienti statunitensi;
• Protezione insufficiente: mancavano sistemi avanzati come CAPTCHA e limitazioni per prevenire tentativi di login automatizzati.

Un altro rischio è stato individuato all’interno delle modifiche al flusso dei dati. Queste furono introdotte da PayPal appositamente per rendere più accessibili i moduli fiscali 1099-K. Sono state proprio queste modifiche apportate senza che il personale avesse la dovuta formazione in termini di sicurezza a far scattare il problema. Sono infatti rimaste esposte informazioni come nomi, date di nascita, numeri di previdenza sociale e identificativi fiscali.

Le misure adottate da PayPal

Dopo l’incidente, PayPal ha introdotto diverse migliorie per rafforzare la sicurezza della piattaforma, tra cui:

• Autenticazione a più fattori obbligatoria per tutti i clienti negli Stati Uniti;
• Implementazione di CAPTCHA per prevenire tentativi automatizzati di accesso;
• Mascheramento dei dati sensibili nei moduli fiscali;
• Limitazioni alle richieste di login automatizzate.

Nonostante questi interventi, il DFS ha dichiarato che le azioni correttive sono state tardive e che PayPal non ha rispettato pienamente le normative di sicurezza informatica dello stato di New York.

L’accordo prevede che, versando tale cifra ora, si potrà evitare di cadere in episodi del genere in futuro. Una volta pagata la multa, non verranno intraprese altre azioni legali contro il colosso dei pagamenti online.